深信服AF防火墙第二层透明模式下配置

实验V3防火墙透明模式（二层模式）一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。

为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图四、配置步骤基本配置1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常2. 将防火墙加入到网络中，进行防火墙的基本配置3. 将防火墙转换成二层模式，保证内网运行正常防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permitfirewall zone trust //内网口加入trustadd interface g1/0quitfirewall zone untrust //外网口加入untrustadd interface g2/0quit2、将防火墙转换成二层模式：bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1 //设置管理地址ip address 192.168.1.100 255.255.255.0quitint g1/0 //将接口加入桥组bridge-set 1quitint g2/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛1.1 五、查看和测试：使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网？3、内网PC机能否管理F1000-S1.2 六、实验思考：1、当需要管理F1000-S防火墙时，我们需要登录bridge-template接口，请考虑这个时候对内网S3100交换机有什么特殊要求？1.3 附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理IP地址）interface Ethernet2/0（进入WAN口）promiscuous （配置为透明传输）quitinterface Ethernet1/0 （进入LAN口）promiscuous （配置为透明传输）quitfirewall packet-filter default permit （配置防火墙默认规则）firewall unknown-mac flood （未知MAC泛洪）。

USG 防火墙透明模式配置方法USG接口工作在二层模式（透明模式）USG采用此组网接入上下行网络，无须改变原有网络的拓扑结构，也不需要重新分配额外的业务地址。

组网需求USG作为安全设备被部署在业务节点上，上行设备是路由器，下行设备为交换机，业务接口工作在交换模式下。

组网图如图1所示，网络规划如下：∙内部网络的网段地址为192.168.1.0/24，与USG的GigabitEthernet 0/0/1接口相连，部署在trust区域。

∙外部网络与USG的GigabitEthernet 0/0/2接口相连，部署在Untrust区域。

∙USG的管理地址为192.168.1.2/24图1 业务接口工作在二层，上下行连接交换机的组网图配置思路G接口GigabitEthernet 0/0/1和GigabitEthernet 0/0/2均工作在交换模式，分别加入不同的安全区域。

2.在USG上创建VLANif接口，配置管理ip地址为192.168.0.1。

3.在USG上配置到路由器的默认路由。

4.在USG上配置Trust区域和Untrust区域的域间包过滤规则。

操作步骤1.在USG上完成以下基本配置。

# 配置GigabitEthernet 0/0/1工作在交换模式。

<USG_A> system-view[USG_A] interface GigabitEthernet 0/0/1[USG_A-GigabitEthernet0/0/1] portswitch[USG_A-GigabitEthernet0/0/1] quit# 配置GigabitEthernet 0/0/1加入Trust区域。

[USG_A] firewall zone trust[USG_A-zone-trust] add interface GigabitEthernet 0/0/1[USG_A-zone-trust] quit# 配置GigabitEthernet 0/0/2工作在交换模式。

深信服防火墙使用手册摘要：1.深信服防火墙简介2.深信服防火墙的功能与特点3.深信服防火墙的安装与配置4.深信服防火墙的使用方法与技巧5.深信服防火墙的维护与升级6.深信服防火墙的常见问题与解决方法正文：【深信服防火墙简介】深信服防火墙是一款国内知名的网络安全设备，由我国深信服科技公司研发并生产。

深信服防火墙凭借其强大的安全防护能力，广泛的应用在政府、金融、教育、医疗等各个领域，有效保护了用户的网络信息安全。

【深信服防火墙的功能与特点】深信服防火墙具有以下主要功能：1.防止恶意攻击：可以有效防止DDoS、SYN Flood 等网络攻击，确保网络稳定运行。

2.访问控制：可以根据用户需求设置访问规则，实现对网络访问的精细控制。

3.内容过滤：可以对网络中的内容进行过滤，防止恶意信息传播。

4.应用控制：可以对网络中的应用进行控制，避免应用滥用。

深信服防火墙具有以下特点：1.高性能：具有高效的数据处理能力，不会影响网络速度。

2.易用性：界面简洁，操作方便，易于上手。

3.高安全性：采用国内领先的安全技术，有效防止网络攻击。

【深信服防火墙的安装与配置】深信服防火墙的安装与配置主要包括硬件安装、软件安装和配置三个步骤。

具体操作可以参考设备的安装手册。

【深信服防火墙的使用方法与技巧】深信服防火墙的使用方法主要包括以下几个步骤：1.登录设备：使用管理员账号登录设备。

2.查看状态：查看设备的运行状态，包括CPU 使用率、内存使用率等。

3.配置规则：根据需求设置访问规则、内容过滤规则等。

4.查看日志：查看设备的日志，以便及时发现和处理问题。

在使用深信服防火墙时，还可以运用一些技巧，如设置访问时间限制、限制P2P 软件等，以提高网络的安全性和稳定性。

【深信服防火墙的维护与升级】深信服防火墙的维护主要包括设备维护和软件升级两个方面。

设备维护主要包括定期检查设备硬件、清理设备内部灰尘等。

软件升级则需要定期查看设备软件版本，并根据需求进行升级。

深信服下一代防火墙NGAF解决方案深信服科技有限公司2012-03-09第1章需求概述1.1方案背景xxx公司成立于1997年…….1.2网络安全现状近几年来，计算机和网络攻击的复杂性不断上升，使用传统的防火墙和入侵检测系统（IDS）越来越难以检测和阻挡。

随着每一次成功的攻击，黑客会很快的学会哪种攻击方向是最成功的。

漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短，使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。

随着病毒、蠕虫、木马、后门和混合威胁的泛滥，内容层和网络层的安全威胁正变得司空见惯。

复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻，它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。

许多黑客正监视着软件提供商的补丁公告，并对补丁进行简单的逆向工程，由此来发现漏洞。

下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。

需要注意的是，对于最近的一些攻击，这一时间已经大大缩短了。

IT和安全人员不仅需要担心已知安全威胁，他们还不得不集中精力来防止各种被称之为“零小时”（zero-hour）或“零日”（zero-day）的新的未知的威胁。

为了对抗这种新的威胁，安全技术也在不断进化，包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统（IPS）等新技术不断被应用。

但是黑客的动机正在从引起他人注意向着获取经济利益转移，我们可以看到一些更加狡猾的攻击方式正被不断开发出来，以绕过传统的安全设备，而社会工程（social engineering）陷阱也成为新型攻击的一大重点。

图：系统漏洞被黑客利用的速度越来越快带有社会工程陷阱元素的攻击包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web 站点等。

这些攻击设计为欺骗用户暴露敏感信息，下载和安装恶意程序、跟踪软件或运行恶意代码。

深信服AF防火墙第二层透明模式下配置在配置深信服AF防火墙第二层透明模式之前，首先需要进行以下准备工作：1.网络拓扑规划：确定防火墙的放置位置和与其他网络设备的连接方式，以便合理规划网络流量的监控和策略的下发。

2.IP地址规划：为防火墙的透明模式接口和管理口分配合适的IP地址，并与网络中的其他设备进行地址配置的协调。

3.网络访问策略：根据实际需求和网络安全要求，定义合适的网络访问策略，包括访问控制列表(ACL)、安全策略、NAT等，以确保网络流量的安全性和合规性。

下面是深信服AF防火墙第二层透明模式的配置步骤及相关解释：1.登录防火墙：使用浏览器访问深信服AF防火墙的管理页面，并使用管理员账号进行登录。

2.配置接口：选择"网络"-"接口"，点击“新增”，配置透明模式接口的相关参数，包括名称、物理接口、IP地址、子网掩码等。

3.绑定端口：选择"网络"-"端口"，选择待绑定的物理接口，点击“绑定”，将透明模式接口与物理接口进行绑定。

4.配置VLAN：如果需要对网络流量进行VLAN隔离，选择"网络"-"VLAN"，点击“新增”，配置VLAN的相关参数，包括名称、VLANID、IP 地址等。

5.配置物理链路：选择"网络"-"链路"，点击“新增”，配置物理链路的相关参数，包括名称、绑定接口、链路类型等，以将不同的物理接口绑定为一组进行负载均衡和冗余备份。

6.配置网络ACL：选择"策略"-"网络ACL"，点击“新增”，配置ACL规则，包括源IP、目的IP、协议、端口等，以定义允许或禁止的网络流量。

7.配置安全策略：选择"策略"-"安全策略"，点击“新增”，配置安全策略规则，包括源地址、目的地址、应用、行为等，以定义网络流量的安全检查和处理方式。

4.2 防火墙透明工作模式的配置前置知识:防火墙的透明工作模式，相当于防火墙端口工作于透明网桥模式，即防火墙的各个端口所连接的计算机均处于同一IP子网中，但不同接口之间的计算机的访问要受安全规则的制约。

因此这对内部网络中需要对某些计算机采取强化控制措施时是很用的。

这是对网络变动最少的接入控制方法，广泛应用于原来网络的安全升级中，而原有的拓扑只要稍加改动即可。

实验目的1.了解什么是防火的透明工作模式2.掌握防火墙透明工作模式的配置方法，并在防火墙中设置简单规则以实现对外部设备访问的控制实验器材1.DCFW-1800S-K/VPN防火墙一台2.交叉网线两根3.PC机两台实验拓扑及规划试验步骤1.给防火墙LAN(if1)接口设置IP地址及添加管理机地址在命令行方式下利用admin用户登录到防火墙，执行如下操作：# ifconfig if1 192.168.100.100/24# ifconfig if1 192.168.100.100/24# adminhost add 192.168.100.101# apply# save做了如上修改之后，修改本地计算机的“测试”网卡地址为“192.168.100.101”，并启动浏览器、用admin用户登录到防火墙。

2. 进入网桥设置主界面选择“首页”|“系统”|“网桥设置”命令，如图1所示：图1 网桥设置界面3．启用网桥单击图1中“网桥设备”中的“bridge0”右边的“修改”按钮，进入如图2所示的界面，选中“修改网桥设置”选项卡，随后选中“启用”复选框，以启用网桥。

图2 启用网桥设置4．向网桥中添加接口选中“网桥bridege0接口设置”选项卡，如图3所示。

图3启用网桥设置单击“新增”按钮，将if0和if1接口加入bridge0，完成后的界面如图4所示。

图4 向bridge0中加入接口而后选“修改网桥设置”选项卡，回到图25所示界面，单击“确定”按钮，回到主界面，如图5所示，为使设置生效，依次单击“应用”和“保存”按钮。

SANGFOR_AF_等保场景 配置指导手册2019年8月修订历史编号修订内容简述修订日期修订前版本号修订后版本号修订人1 编写20190808 V1.0 chenke■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。

任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录第1章前言 (2)第2章典型案例 (2)第3章下一代防火墙的作用 (3)第4章下一代防火墙的配置内容 (4)4.1安全功能配置 (4)4.1.1划分区域 (4)4.1.2访问控制 (5)4.1.3高可用 (6)4.1.4 IPSec VPN功能 (7)4.1.5 IPS功能 (8)4.1.6网络杀毒功能 (11)4.1.7 WAF功能 (12)4.1.8网页防篡改 (14)4.1.9 DoS/DDoS防护 (15)4.1.10 APT攻击检测 (17)4.2安全计算环境 (17)4.2.1身份鉴别&访问控制 (17)4.2.2入侵防范 (20)4.2.3数据备份恢复 (22)4.3安全审计 (22)第1章 前言为了保障等保项目的顺利交付，协助用户满足GB/T-22239-2019等保三级的相关技术要求，特编写此配置指导文档。

第2章 典型案例第3章 下一代防火墙的作用安全域产品名称部署位置产品作用配置内容互联网出口域基础级防火墙互联网出口隔离互联网和内部网络防范网络入侵攻击网络层恶意代码过滤流量管理与控制区域划分访问控制IPS防病毒流量控制核心业务域（三级系统域）增强级防火墙核心业务服务区的外联口隔离核心业务服务器区和其他区域防范网络入侵攻击防范web应用层攻击访问控制IPSWAF对外服务器域增强级防火墙对外服务器区的外联口隔离对外服务器区和其他区域防范网络入侵攻击防范web应用层攻击网页防篡改访问控制IPSWAF网页防篡改运维管理域基础级防火墙运维管理域的外联口隔离运维区和其他区域访问控制第4章 下一代防火墙的配置内容4.1安全功能配置4.1.1划分区域GB/T 22239技术要求：1)应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；配置步骤：1、点击【网络】-【接口/区域】。

1、使用超级终端，名称任意，连接com端口，回车，出现<H3C>表明已经连接了防火墙。

2、输入一系列配置命令如下：[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit[H3C]firewall zone trust[H3C-zone-trust]add interface ethernet0/0The interface has been added to trust security zone.[H3C-zone-trust]add interface ethernet0/1The interface has been added to trust security zone.[H3C-zone-trust]add interface ethernet0/2The interface has been added to trust security zone.[H3C-zone-trust]quit[H3C]bridge enableBridge module has been activated[H3C]bridge 1 enableBridge set has been activated[H3C]interface bridge-template 1[H3C-Bridge-template1]ip address 192.168.1.188 255.255.255.0[H3C-Bridge-template1]quit[H3C]interface ethernet0/0[H3C-Ethernet0/0]bridge-set 1The port has been in the set[H3C-Ethernet0/0]quit[H3C]interface ethernet0/1[H3C-Ethernet0/1]bridge-set 1The port has been in the set[H3C-Ethernet0/1]interface ethernet0/2[H3C-Ethernet0/2]bridge-set 1The port has been in the set[H3C-Ethernet0/2]quit[H3C]firewall zone trust[H3C-zone-trust]add interface bridge-template 1The interface has been added to trust security zone.[H3C-zone-trust]quit[H3C]saveThe configuration will be written to the device.Are you sure?[Y/N]yNow saving current configuration to the device.Saving configuration flash:/config.cfg. Please wait...................Current configuration has been saved to the device successfully.[H3C]3、进入WEB页面配置IP地址：192.168.1.122 子网掩码：255.255.255.0IE地址栏：http:// 192.168.1.185（省调项目）188（SIS网的防火墙）用户名：Admin 密码：Admin我们在web页面配置下，没有什么重要的配置，只是要勾选下所有的攻击类型。

深信服防火墙使用手册【最新版】目录1.深信服防火墙简介2.深信服防火墙的功能3.深信服防火墙的安装与配置4.深信服防火墙的使用方法5.深信服防火墙的维护与升级正文一、深信服防火墙简介深信服防火墙是一款由我国知名网络安全企业深信服科技推出的网络安全设备。

作为一款专业的防火墙，它致力于为企业和组织提供安全、稳定的网络环境，有效抵御各种网络攻击，确保用户数据和信息安全。

二、深信服防火墙的功能深信服防火墙具备以下主要功能：1.防止恶意攻击：可以防止黑客攻击、DDoS 攻击等，确保网络稳定运行。

2.入侵检测：能够实时监控网络流量，检测并报警潜在的入侵行为。

3.访问控制：可以根据需要设置访问规则，限制特定 IP 或区域的访问权限。

4.应用控制：可以对不同应用进行流量控制和访问策略设置，提高网络资源利用率。

5.数据加密：支持数据加密传输，保障信息安全。

三、深信服防火墙的安装与配置深信服防火墙的安装与配置主要包括以下几个步骤：1.设备准备：检查设备硬件是否完好，并确保设备与网络连接正常。

2.系统安装：根据设备要求选择合适的操作系统，并进行安装。

3.配置网络：根据实际情况配置设备的网络参数，包括 IP 地址、子网掩码等。

4.登录设备：使用 SSH 工具登录设备，并进入系统配置界面。

5.配置防火墙：在系统配置界面中，设置防火墙规则、访问控制策略等。

四、深信服防火墙的使用方法深信服防火墙的使用方法主要包括以下几个步骤：1.登录设备：使用 SSH 工具登录设备，进入系统配置界面。

2.查看状态：通过查看设备状态，了解设备运行情况。

3.策略调整：根据需要调整访问控制策略、防火墙规则等。

4.日志分析：定期分析设备日志，掌握网络安全状况。

五、深信服防火墙的维护与升级深信服防火墙的维护与升级主要包括以下几个方面：1.定期更新系统：及时更新操作系统和安全补丁，提高设备安全性。

2.设备巡检：定期对设备进行巡检，确保设备硬件正常运行。

实验七、防火墙透明模式配置实验目的1.了解什么是透明网络模式2.了解如何配置防火墙为透明模式应用环境透明模式即相当于防火墙工作于透明网桥模式。

防火墙进行防范的各个区域均位于同一网段。

在实际应用网络中，这是对网络变动最少的接入方法，广泛用于大量原有网络的安全升级中。

实验设备1.防火墙设备一台2.Console线一条3.交叉网络线三条4.直通网络线一条5.PC机2三台实验拓扑实验要求1.防火墙网桥模式初始配置2.配置相关网络对象和服务对象3.配置安全规则安全规则为：PC1为内网主机，PC2为外网主机。

PC1：允许访问外网的HTTP，FTP，ping；PC2：不允许访问内网；4.实验验证实验步骤连接实验环境按照拓扑图，使用二根交叉双绞线将二台PC机与防火墙的对应端口连接在一起（实验验证用）。

防火墙网桥模式初始配置进入防火墙命令行管理界面，按照拓扑图的IP地址规划，配置防火墙的管理主机地址和LAN口地址，以便进行图形化界面管理。

# ifconfig if1 192.168.1.77/24# adminhost add 192.168.1.10# apply# save修改PC1的地址为拓扑所示（192.168.1.10），则可以通过IE浏览器进行防火墙的安全图形界面管理了。

在系统->网桥设置中，启用bridge0，并点击右侧修改按钮，如下所示：点击启用，然后点开网桥bridge0接口设置标签，使用新增按钮分别添加防火墙的lan （if1）和wan（if0）口。

系统提示操作成功后，可以得到如下界面显示：点击右上角的应用按钮，然后保存配置，网桥模式启动成功。

注：MAC缓冲池大小一般与内网连接的用户数有关，可以根据实际需要对此数值进行更改，一般需要比内网用户数多。

配置相关网络对象和服务对象在DCFW-1800系列中，配置安全规则之前，需要定义一系列的服务对象和网络对象。

所谓网络对象，就是指防火墙的安全规则所针对的网络节点或网络节点群，安全规则就是以网络对象为基本的检查单元进行安全检查决定是否允许某个网络对象的数据转发与否。

深信服防火墙手册深信服防火墙是一种高性能、多业务安全的网络安全设备，适用于各种网络环境，如企业、政府、教育、医疗等行业。

以下是深信服防火墙的使用手册：1. 设备安装与配置：设备连接：将深信服防火墙连接到电源和网络接口，确保网络连接正常。

配置IP地址：在浏览器中输入设备的IP地址，登录防火墙的管理界面，设置防火墙的IP地址、子网掩码和网关等网络参数。

2. 登录管理界面：在浏览器中输入设备的IP地址，然后输入用户名和密码（默认为admin）登录防火墙的管理界面。

3. 防火墙网关部署：新建区域：在管理界面中新建区域，选择相应的接口，如WAN区域和LAN区域。

配置网络接口：为每个区域配置相应的网络接口，如eth1和eth2。

4. 配置默认路由和去往内网的回包路由：根据实际网络环境，配置默认路由和去往内网的回包路由。

5. 配置源地址转换：代理内网用户上网，将内网用户的源地址转换为出接口的IP地址。

6. 防火墙默认拒绝所有：设置防火墙的默认策略为拒绝所有请求，以增强安全性。

7. 应用控制策略放通：根据实际需求，配置应用控制策略，允许或拒绝特定的应用程序或协议通过防火墙。

8. 配置僵尸网络防护：为了保护内网PC免受僵尸网络的攻击，可以配置相应的僵尸网络防护功能。

9. 配置IPS防护内网客户端：根据实际需求，配置入侵防御系统（IPS），保护内网客户端免受攻击。

10. 配置流量管控：对内网PC的带宽进行限制，以避免因个别用户占用过多带宽而影响整个网络的性能。

以上是深信服防火墙的使用手册，具体配置可能因实际网络环境和需求而有所不同。

建议参考深信服防火墙的官方文档或联系专业技术人员进行配置和优化。

深信服防火墙手册概述在当今数字化信息时代，网络安全问题日益突出，各种网络攻击层出不穷，企业和个人网络环境面临越来越大的风险。

为了保护网络安全，深信服防火墙成为了一个重要的解决方案。

本手册将向您介绍深信服防火墙的基本功能、设备布署和配置方式，以及常见问题的解决方法。

一、深信服防火墙的基本功能深信服防火墙作为一种网络安全设备，具有多种功能，以保护企业网络环境的安全。

以下是深信服防火墙的主要功能：1. 包过滤深信服防火墙可以实现对网络数据包的过滤和检测，根据预设的规则对流量进行筛选，阻止来源不明或可能带有威胁的数据包进入企业网络。

2. 访问控制深信服防火墙可以根据企业网络的访问策略，通过控制访问规则和权限，限制用户对特定网络资源的访问，提升网络安全性。

3. 虚拟专用网络（VPN）支持深信服防火墙支持VPN功能，可以通过建立安全的隧道，实现远程用户与企业内部网络之间的加密通信，保证数据传输的机密性和完整性。

二、深信服防火墙的设备布署深信服防火墙的设备布署是确保其有效性的重要一环。

以下是几种常见的深信服防火墙设备布署方式：1. 边界布署将深信服防火墙放置在企业网络与外部网络之间，作为信息流入和流出的第一道防线，有效控制外部流量对内部网络的访问。

2. 内部分割布署将深信服防火墙部署在企业内部网络的不同区域之间，实现内部流量的隔离与管理，避免内部恶意流量的传播。

3. 服务器隔离布署将深信服防火墙部署在企业服务器与外部网络之间，通过严格控制服务器访问规则，保护服务器免受来自外部的攻击和非法访问。

三、深信服防火墙的配置方式深信服防火墙的配置是保证其有效性的重要环节，根据具体环境和需求，可以采用以下配置方式：1. 基本配置通过指定防火墙的基本参数，如IP地址、子网掩码和网关等，实现防火墙与网络的连接。

2. 访问策略配置配置访问控制规则，根据企业网络实际需求，限制不同用户对特定资源的访问权限和流量的传输方式。

3. 安全服务配置配置网络层和应用层的安全服务，如包过滤、入侵检测和防病毒等功能，保障网络环境的安全。

普通网络环境防火墙配置透明模式题记：大多数的防火墙或者说是UTM部署的模式有路由模式，网桥模式，混杂模式，配置最核心的也就是写规则，一个好的规则会使得内部网络的安全性得到较大的改善，当然如果是UTM可能还会附加上一些其他的安全组件，例如见的最多的就是AV防病毒组件，IPS组件，anti-spam反垃圾邮件组件等，有的还有一些上网行为管理（比较薄弱），VPN等组件，本次主要是以启明星辰的USG系列设备的常见部署模式进行配置说明，其他的厂商的防火墙配置内容都是大同小异，掌握一家的其他的自然也就很容易上手，学习就要善于总结归纳，将有共同点的知识技能归纳，做到一劳多得！！实验环境：1、防火墙工作在桥模式。

2、防火墙的eth2 和eth3 加入网桥组1（BVI1）。

网桥组1 配置防火墙管理IP：192.168.0.249/243、eth2 接口连接课桌上的网线口(如A1-1)通过交换机与网络相连，网关为192.168.0.1.4、eth3 直接与主机相连，主机IP 设为192.168.0.5实验拓扑：通过下面的简单操作，用户可以快速地安装配置好一台防火墙，并且，防火墙内部网的机器能够直接访问internet。

网络拓扑如下图所示：实验步骤如下：1.进入“网络设置-接口-透明桥”点击“新建”。

在桥名称中填入“BVI1”，桥组号中填入“1”，接口列表中选择“eth2”和“eth3”。

为便于对防火墙的管理可以将“管理访问”下的选项全部选择。

因为“eth2”和“eth3”使用的是桥模式，所以桥的IP 地址和掩码可以不配。

因为是透明桥模式，所以配置的IP 和掩码：192.168.0.249/24，是用于管理防火墙的IP，对网络没有什么影响。

参数配置完毕后，点击“提交”。

点击右上角图标保存配置。

2.进入“网络设置》基本配置缺省网关”点击“新建”添加网关。

提交并保存3.进入“防火墙》安全策略”点击“新建”，配置eth3 到eth2 的“全通”安全策略。

第一篇：实验8 防火墙透明模式配置实验八防火墙透明模式配置适用于河南中医学院信息技术学院网络安全实验室一、实验目的1、了解什么是透明模式；2、了解如何配置防火墙的透明模式；二、应用环境透明模式相当于防火墙工作于透明网桥模式。

防火墙进行防范的各个区域均位于同一网段。

在实际应用网络中，这是对网络变动最少的介入方法，广泛用于大量原有网络的安全升级中。

三、实验设备(1) 防火墙设备1台(2) Console线1条(3) 网络线2条(4) PC机3台四、实验拓扑五、实验步骤第一步：搭建WebUI配置环境除使用CLI 进行配置以外，神州数码安全网关还提供WebUI 界面，使用户能够更简便与直观地对设备进行管理与配置。

安全网关的ethernet0/0 接口配有默认IP 地址192.168.1.1/24，并且该接口的各种管理功能均为开启状态。

初次使用安全网关时，用户可以通过该接口访问安全网关的WebUI 页面。

请按照以下步骤搭建WebUI 配置环境：1. 将管理PC 的IP 地址设置为与192.168.1.1/24 同网段的IP 地址，并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。

2. 在管理PC 的Web 浏览器中访问地址http://192.168.1.1 并按回车键。

出现登录页面如下图所示：3.输入管理员的名称和密码。

DCFW-1800系列安全网关提供的默认管理员名称和密码均为“admin”。

4.从下拉菜单选择Web页面语言环境，或。

5.点击『登录』按钮进入安全网关的主页。

DCFW-1800系列安全网关的主页如图第二步：接口配置1. 将eth0/1接口加入二层安全域l2-trust。

2. 将eth0/2接口设置成二层安全域l2-untrust。

如下图所示配置好以后如下图所示第三步：添加对象定义地址对象定义网段A (172.16.2.11 –172.16.2.12) 定义网段B (1172.16.2.13 –172.16.2.14) 如下图所示添加第一个网段，如下图添加第二个网段，如下图自定义规则，如下图所示自定义添加的规则，点击确定后即可使用。

深信服防火墙AF配置
1.深信服防火墙AF设备出厂manage口ip地址为10.251.251.251，首先给自己电
脑配置同网段ip地址10.251.251.200，把AF设备manage口和笔记本用网线连起来，打开浏览器输入https://10.251.251.251,输入用户名：admin、密码：admin，登录WEB控制台，
2.防火墙网关部署，新建2个三层区域，分别为WAN区域和LAN区域，选择
接口eth1和eth2。

3.配置网络接口，wan区域eth1口配置公网ip地址，lan区域配置内网规划ip
地址
4.配置默认路由和去往内网的回包路由
5.配置源地址转换，代理内网用户上网，转换为出接口ip地址
6.防火墙默认拒绝所有，应用控制策略放通。

7.配置僵尸网络，内网pc上网防护。

8.配置IPS防护内网客户端
9.配置流量管控，对内网pc带宽限制。

1、配置虚拟线路，填写真实带宽
10.配置流控，首先启用流控，内网用户p2p下载和在线影视限制50M。

FortiGate透明模式FortiGate透明模式目录1. 目的 (3)2. 环境介绍 (3)3. 启用透明模式 (3)4. 透明模式下的相关特性 (4)4.1 stpforward (4)4.2 vlanforward (6)4.3 forward domain (6)4.4 l2forward (8)5. 透明模式下的多播流量 (9)6. MAC地址转发表 (9)7. tagged与untagged数据包 (10)8. 参考 (11)1. 目的FortiGate透明模式对于网络是不可见的，所有的接口都在同一个子网下且共享一个同样的IP管理地址,透明模式下FortiGate也可以用于安全策略及流量的控制。

本文就FortiGate的透明模式的相关特性及应用进行说明。

2. 环境介绍本文使用1台FortiGate 310B与2台cisco模拟交换机进行说明,本文使用的系统版本为FortiOS v4.0MR2 Patch8。

3. 启用透明模式透明模式可以在系统状态的系统信息中启用。

系统默认运行模式为NAT,在状态面板中系统信息可以更改为透明模式更改为透明模式后,输入管理地址与网关用于管理防火墙。

命令行下的更改如下config system settingsset opmode transparentset manageip 192.168.118.234/255.255.255.0set gateway 192.168.118.1end4. 透明模式下的相关特性4.1 stpforward网桥协议数据单元（Bridge Protocol Data Unit)。

是一种生成树协议问候数据包,它以可配置的间隔发出,用来在网络的网桥间进行信息交换,其目标MAC地址为01-80-C2-00-00-00,发送间隔为60秒。

FortiGate透明模式下默认不转发此数据包。

VTP及CDP是cisco设备常用的二层协议VTP:Cisco Vlan Trunk ProtocolCDP:Cisco Discovery ProtocolVTP及CDP所使用的目标mac地址01-00-0C-CC-CC-CC透明模式在接口上启用stp转发,可以允许CDP及VTP包的穿越,聚合链路需要在聚合链路接口上启用stp转发。